認証方法の追加

認証では、認証方式を 1 つ定義します。たとえば、パスワード(Endpoint Defense コンソールパスワードなど)や、Active DirectoryOktaPing Identity のような、サードパーティに接続して行う認証などが挙げられます。認証方法を認証ポリシーに追加して、管理者が Endpoint Defense コンソールにサインインするために完了する必要がある認証のタイプと、ユーザーが Aurora Protect Mobile アプリまたは Gateway エージェントをアクティブ化するために完了する必要がある認証のタイプを指定します。1 つの認証ポリシーに複数の認証方法を組み合わせて設定することで、複数ステップの認証を実現できます。たとえば、エンタープライズ認証とワンタイムパスワードのプロンプトを組み合わせたポリシーを設定すると、仕事用または Endpoint Defense コンソールパスワードと、ワンタイムパスワードの両方による認証をユーザーに要求できます。
  • 重要: IDP SAML 認証方法の設定前に、「サインインの認証の設定」の適切な手順を確認し、Endpoint Defense コンソールに実行したことを確認します。必要な手順が完了していない場合、サードパーティの認証方法は Cylance Endpoint Security と通信できません。詳細については、以下を参照してください。
    • IDP を設定して認証を強化し、IDP によって Endpoint Defense コンソールにアクセスする手順については、「サインインの認証の設定」を参照してください。
  • SAML 認証を追加する場合は、
  1. メニューバーで[設定] > [認証]をクリックします。
  2. [認証方法を追加]をクリックします。
  3. [認証方法のタイプ]ドロップダウンリストで、次のいずれかの認証方法を選択します。

    項目

    説明

    Entra (SAML)

    プライマリサインインページでユーザーに Entra 資格情報を入力させて、Endpoint Defense コンソールへの IDP 開始アクセスを有効にする場合は、このオプションを選択します。

    SSO コールバック URL は、認証方法を保存すると生成され、https://login.eid.blackberry.com/_/resume/saml20/<hash> の形式になります。

    次の手順に従います。
    1. 認証方法の名前を入力します。
    2. ユーザーが初めてログインするときに 1 回限りのコードでメールを検証するように要求する場合は、[検証が必要]をオンにします。コードは、テナント内のユーザーに紐づけられているメールアドレスに送信されます。
    3. [ログイン要求 URL]フィールドに、ID プロバイダーのアプリ登録シングルサインオン設定で指定されているログイン URL を入力します。たとえば、Entra ポータルでは、[エンタープライズアプリケーション] > <新しく作成したアプリケーションの名前> > アプリケーション名設定セクション > [ログイン URL]に移動します。
    4. [IDP 署名証明書]フィールドに、ダウンロードした署名証明書の本文(Begin Certificate 行と End Certificate 行を含む)を貼り付けます。

      証明書の本文をコピーして貼り付けるときは、証明書情報の改行や形式を変更してしまわないように注意してください。

    5. [SP エンティティ ID]フィールドに、Entra ポータルの SAML 設定から記録した ID(エンティティ ID)を入力します。必須フィールドです。[SP エンティティ ID]の値は、IDP コンソールで記録した ID(エンティティ ID)の値と一致する必要があります。
    6. [詳細設定の表示]を有効にして、[メールクレーム]フィールドに、Entra ポータルで記録したクレーム名の値を貼り付けます(例:http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress)。
    7. 他のオプション設定を指定します。
    8. [保存]をクリックします。
    9. 追加した認証方法を開きます。SSO コールバック URL を記録します。この URL は、Entra ポータル > [基本 SAML 設定]> [返信 URL] フィールド(アサーションコンシューマ URL)で必要です。
    カスタム(SAML)

    プライマリサインインページでユーザーにカスタム資格情報を入力させて、Endpoint Defense コンソールへの IDP 開始アクセスを有効にする場合は、このオプションを選択します。

    SSO コールバック URL は、認証方法を保存すると生成され、https://login.eid.blackberry.com/_/resume/saml20/<hash> の形式になります。

    1. 認証方法の名前を入力します。
    2. ユーザーが初めてログインするときに 1 回限りのコードでメールを検証するように要求する場合は、[検証が必要]をオンにします。
    3. [ログイン要求 URL]フィールドに、ID プロバイダーのシングルサインオン URL を入力します。
    4. [IDP 署名証明書]フィールドに、ダウンロードした署名証明書の本文(Begin Certificate 行と End Certificate 行を含む)を貼り付けます。

      証明書の本文をコピーして貼り付けるときは、証明書情報の改行や形式を変更してしまわないように注意してください。

    5. [SP エンティティ ID]フィールドに、カスタム IDP ポータルで記録した対象者 URI(SP エンティティ ID)を入力します。必須フィールドです。[SP エンティティ ID]の値は、IDP コンソールで記録した対象者 URI(SP エンティティ ID)の値と一致する必要があります。
    6. [名前 ID 形式]フィールドで、IDP から要求する名前識別子形式を指定します(例:urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress)。
    7. [メールクレーム]フィールドに「NameID」と入力します。この値は、IDP コンソールで指定した NameID 形式と一致する必要があります。メールアドレスにより、正しいユーザーが管理コンソールにサインインしていることが確認されます。
    8. 他のオプション設定を指定します。
    9. [保存]をクリックします。
    10. 追加した認証方法を開きます。シングルサインオン URL を記録します。この URL はカスタム IDP に追加されます。

    Cylance 管理者パスワード
    ユーザーに自分の Endpoint Defense コンソールの資格情報を入力させる場合は、このオプションを選択します。次の手順に従います。
    1. 認証方法の名前を入力します。
    2. [保存]をクリックします。

    認証を拒否
    認証ポリシーを使用して、ユーザーやユーザーグループが Endpoint Defense コンソールなどのサービスにアクセスできないようにする場合は、このオプションを選択します。ポリシー例外やアプリケーション例外を新たに追加すると、ユーザーのサブセットへのアクセスを許可できるようになります。
    1. 認証方法の名前を入力します。
    2. [保存]をクリックします。

    Duo MFA(非推奨)

    Duo は、従来の Duo プロンプトのサポートを終了しました。詳細については、Duo のナレッジベースを参照してください。この認証が追加されている場合は、コンソールに読み取り専用として表示されます。Duo 多要素認証を追加するには、下記の「Duo ユニバーサル MFA」を参照してください。

    ユーザーに Duo 多要素認証を使用して認証させる場合は、このオプションを選択します。

    Duo を認証方法として追加する前に、認証 API アプリケーションを作成する必要があります。手順については、Duo の情報を参照してください

    次の手順に従います。
    1. 認証方法の名前を入力します。
    2. [Duo MFA の設定]セクションで、API のホスト名、インテグレーションキー、およびシークレットキーを入力します。この情報は、組織の Duo アカウントの[アプリケーション]タブで確認できます。詳細については、Duo のマニュアルを参照してください。

    Duo ユニバーサル MFA

    ユーザーに Duo 多要素認証を使用して認証させる場合は、このオプションを選択します。

    Duo を認証方法として追加する前に、Web SDK アプリケーションを作成する必要があります。手順については、Duo のマニュアルを参照してください

    次の手順に従います。
    1. 認証方法の名前を入力します。
    2. [Duo ユニバーサル MFA の設定]セクションで、API のホスト名、クライアント ID、クライアントシークレットを入力します。この情報は、組織の Duo アカウントの[アプリケーション]タブで確認できます。詳細については、Duo のマニュアルを参照してください

    エンタープライズ
    ユーザーに Active Directory、LDAP、または myAccount の資格情報を使用して認証させる場合は、このオプションを選択します。ユーザーが使用する資格情報は、コンソールのユーザーアカウントのソースとなるアカウントタイプによって異なります。次の手順に従います。
    1. 認証方法の名前を入力します。
    2. [保存]をクリックします。

    FIDO

    ユーザーに FIDO2 デバイスを登録してもらい、ID を確認できるようにする場合は、このオプションを選択します。サポートされるデバイスタイプには、スマートフォン、USB セキュリティキー、Windows Hello があります。 

    1. 認証方法の名前を入力します。
    2. [保存]をクリックします。

    FIDO が第 1 認証要素の場合は、ユーザーがデバイスの初回登録を行うときに、サインインで使用するメールアドレスにワンタイムパスワードが送信されます。FIDO がポリシーの第 2 認証要素として使用される場合は、ユーザーがデバイスの初回登録を行うときでもワンタイムパスワードは要求されません。

    ユーザーアカウントから登録済みデバイスを削除する方法については、管理関連の資料の「ユーザーアカウントから登録済みの FIDO デバイスを削除する」を参照してください。

    統合されたディレクトリ(Active Directory/Entra ID/LDAP)
    ユーザーに Active Directory パスワードを入力させる場合は、このオプションを選択します。このオプションを選択する場合は、Aurora Endpoint Security テナントが会社のディレクトリのインスタンスと接続している必要があります。詳細については、「会社のディレクトリへのリンク」を参照してください。次の手順に従います。
    1. 認証方法の名前を入力します。
    2. [保存]をクリックします。

    IPアドレス

    IP アドレスに基づいてユーザーのアクセスを制限する場合は、このオプションを選択します。IP アドレス認証を複数作成すると、異なるグループのアクセスを管理できるようになりますが、1 つのポリシーには、1 つの IP アドレス認証しか割り当てることができません。

    1. 認証方法の名前を入力します。
    2. [IP アドレス範囲]フィールドで、IP アドレス、IP 範囲、CIDR を 1 つ以上指定します。エントリはカンマで区切ります。たとえば、IP 範囲:192.168.0.100-192.168.1.255 または CIDR:192.168.0.10/24
    3. [保存]をクリックします。

    ローカルアカウント
    ユーザーに自分の BlackBerry Online AccountmyAccount)資格情報の入力を要求する場合は、このオプションを選択します。次の手順に従います。
    1. 認証方法の名前を入力します。
    2. [保存]をクリックします。

    Okta MFA
    ユーザーに Okta を使用して認証させる場合は、このオプションを選択します。次の手順に従います。
    1. 認証方法の名前を入力します。
    2. [Okta MFA の設定]セクションで、認証 API キーと認証ドメインを入力します。
    3. [保存]をクリックします。

    Okta (OIDC)
    ユーザーに Okta を使用して認証させる場合は、このオプションを選択します。次の手順に従います。
    1. Okta のドロップダウンリストで、[OIDC]を選択します。
    2. 認証方法の名前を入力します。
    3. [アイデンティティプロバイダクライアント]セクションで、OIDC 検出ドキュメントの URL、クライアント ID、およびプライベートキー JWKS を入力します。
    4. [保存]をクリックします。

    Okta (SAML)

    プライマリサインインページでユーザーに Okta 資格情報を入力させて、Endpoint Defense コンソールへの IDP 開始アクセスを有効にする場合は、このオプションを選択します。

    SSO コールバック URL は、認証方法を保存すると生成され、https://login.eid.blackberry.com/_/resume/saml20/<hash> の形式になります。

    1. Okta のドロップダウンリストで、[SAML]を選択します。
    2. 認証方法の名前を入力します。
    3. ユーザーが初めてログインするときに 1 回限りのコードでメールを検証するように要求する場合は、[検証が必要]をオンにします。
    4. [ログイン要求 URL]フィールドに、ID プロバイダーのシングルサインオン URL を入力します。
    5. [IDP 署名証明書]フィールドに、ダウンロードした署名証明書の本文(Begin Certificate 行と End Certificate 行を含む)を貼り付けます。

      証明書の本文をコピーして貼り付けるときは、証明書情報の改行や形式を変更してしまわないように注意してください。

    6. [SP エンティティ ID]フィールドに、Okta ポータルで記録した対象者 URI(SP エンティティ ID)を入力します。必須フィールドです。[SP エンティティ ID]の値は、IDP コンソールで記録した対象者 URI(SP エンティティ ID)の値と一致する必要があります。
    7. [IDP エンティティ ID]フィールドに、Okta から記録した IdentityProvider 発行者を貼り付けます。
    8. [名前 ID 形式]フィールドで、Okta に指定した NameID 形式を選択します(例:urn:oasis:names:tc:SAML:2.0:nameid-format:persistent)。
    9. [メールクレーム]フィールドに「Email」と入力します。これは、Okta コンソールで設定した属性名と一致する必要があります。メールアドレスにより、正しいユーザーが管理コンソールにサインインしていることが確認されます。
    10. 他のオプション設定を指定します。
    11. [保存]をクリックします。
    12. 追加した認証方法を開きます。シングルサインオン URL を記録します。この URL は、Okta コンソール > [SAML 設定]画面の次のフィールドに追加されます。
      • シングルサインオン URL
      • 要求可能な SSO URL

    OneLogin (OIDC)
    ユーザーに OneLogin を使用して認証させる場合は、このオプションを選択します。次の手順に従います。
    1. OneLogin のドロップダウンリストで、[OIDC]を選択します。
    2. 認証方法の名前を入力します。
    3. ユーザーが初めてログインするときに 1 回限りのコードでメールを検証するように要求する場合は、[検証が必要]をオンにします。
    4. [OneLogin の設定]セクションで、OIDC 検出ドキュメントの URL、クライアント ID、クライアントシークレット、および認証方法を入力します。
    5. [保存]をクリックします。

    OneLogin (SAML)

    プライマリサインインページでユーザーに OneLogin 資格情報を入力させて、Endpoint Defense コンソールへの IDP 開始アクセスを有効にする場合は、このオプションを選択します。

    SSO コールバック URL は、認証方法を保存すると生成され、https://login.eid.blackberry.com/_/resume/saml20/<hash> の形式になります。

    1. 認証方法の名前を入力します。
    2. ユーザーが初めてログインするときに 1 回限りのコードでメールを検証するように要求する場合は、[検証が必要]をオンにします。
    3. [ログイン要求 URL]フィールドに、ID プロバイダーのシングルサインオン URL を入力します。
    4. [IDP 署名証明書]フィールドに、ダウンロードした署名証明書の本文(Begin Certificate 行と End Certificate 行を含む)を貼り付けます。

      証明書の本文をコピーして貼り付けるときは、証明書情報の改行や形式を変更してしまわないように注意してください。

    5. [SP エンティティ ID]フィールドに、OneLogin コンソールで記録した ID(エンティティ ID)を入力します。必須フィールドです。[SP エンティティ ID]の値は、IDP コンソールで記録した ID(エンティティ ID)の値と一致する必要があります。
    6. 他のオプション設定を指定します。
    7. [保存]をクリックします。
    8. 追加した認証方法を開きます。シングルサインオン URL を記録します。この URL は、OneLogin コンソールの次のフィールドに追加されます。
      • ACS(コンシューマ)URL バリデータ*
      • ACS(コンシューマ)URL*
      • シングルログアウト URL

    ワンタイムパスワード
    ユーザーに、別のタイプの認証に加えてワンタイムパスワードの入力も要求する場合は、このオプションを選択します。
    注: このオプションを選択した場合、認証ポリシーに別の認証を追加して、ワンタイムパスワードよりも高い位置付けにする必要があります。
    次の手順に従います。
    1. 認証方法の名前を入力します。
    2. [ワンタイムパスワードの設定]セクションの最初のドロップダウンリストで、間隔を選択します。ウィンドウ内のあらゆるコードは、予期したコードから指定した更新間隔の数だけ前または後にある場合は有効です。更新間隔は 30 秒で、デフォルト設定は 1 です。
    3. [ワンタイムパスワードの設定] セクションの 2 つ目のドロップダウンリストでは、OTP アプリのセットアップをスキップして、コード入力なしで認証できる回数を指定します。

    Ping Identity (OIDC)
    Ping Identity を使用してユーザーに認証してもらう場合は、このオプションを選択します。手順は次のとおりです。
    1. [Ping]のドロップダウンリストで、[OIDC]を選択します。
    2. 認証方法の名前を入力します。
    3. [アイデンティティプロバイダクライアント]セクションで、OIDC 検出ドキュメントの URL、クライアント ID、およびプライベートキー JWKS を入力します。
    4. [ID トークンの署名アルゴリズム]のドロップダウンリストで、署名アルゴリズムを選択します。
    5. [保存]をクリックします。

    Ping Identity (SAML)

    プライマリサインインページでユーザーに Ping Identity 資格情報を入力させて、Endpoint Defense コンソールへの IDP 開始アクセスを有効にする場合は、このオプションを選択します。

    SSO コールバック URL は、認証方法を追加すると生成され、https://login.eid.blackberry.com/_/resume/saml20/<hash> の形式になります。

    1. [Ping Identity]のドロップダウンリストで、[SAML]を選択します。
    2. 認証方法の名前を入力します。
    3. ユーザーが初めてログインするときに 1 回限りのコードでメールを検証するように要求する場合は、[検証が必要]をオンにします。
    4. [ログイン要求 URL]フィールドに、ID プロバイダーのシングルサインオン URL を入力します。
    5. [IDP 署名証明書]フィールドに、ダウンロードした署名証明書の本文(Begin Certificate 行と End Certificate 行を含む)を貼り付けます。

      証明書の本文をコピーして貼り付けるときは、証明書情報の改行や形式を変更してしまわないように注意してください。

    6. [SP エンティティ ID]フィールドに、PingOne コンソールで記録したエンティティ ID を入力します。必須フィールドです。[SP エンティティ ID]の値は、IDP コンソールで記録したエンティティ ID の値と一致する必要があります。
    7. 他のオプション設定を指定します。
    8. [保存]をクリックします。
    9. 追加した認証方法を開きます。シングルサインオン URL を記録します。この URL は、次の PingOne コンソールの設定画面のフィールドに入力する必要があります。
      • アサーションコンシューマサービス(ACS)
      • アプリケーション URL
  4. [保存]をクリックします。
認証用のユーザーポリシーの追加 およびテナントのデフォルト認証ポリシーの設定